オープンソースを企業で活用するための組織、OSPOは日本に根付くか？

企業のITシステムにオープンソースソフトウェアを使うことは、すでに既定路線だろう。OSからデータベース、ミドルウェア、Webサイトを構築するソフトウェアまで、オープンソースソフトウェアがカバーする領域は広い。しかし欧米では法務的リスクを重視して、そのライセンスの扱いを担当する専任を置き、ライセンスをチェックするシステムを導入する企業も存在する。さらに社内のエンジニアが社外のコミュニティと活動する際の指針を設けているケースもある。そのような役割を組織として受け持つのがオープンソースプログラムオフィス（OSPO）だ。

OSPOは前回のレポートで触れたように、CNCFのChris Aniszczyk氏が創設したTODO Groupの設立理由として解説されている組織であり、企業の中でオープンソースソフトウェアを使うことで直面する問題を解決するための組織として位置付けられている。

前回ではAniszczyk氏とCapital OneのDirector of Software EngineeringであるJag Gadiyaram氏によるプレゼンテーションを紹介した。今回はそれを受けて「日本ではどうなっているのか？」を探るために株式会社日立製作所、株式会社サイバーエージェント、日本仮想化技術株式会社、デロイト トーマツ コンサルティング合同会社の識者による座談会を行った。日本での現状や課題、組織の作り方などに関して意見を交わした。

参考：オープンソースを活用する企業にオープンソースプログラムオフィスは必要か？

参加したのは、日立製作所OSSソリューションセンタのセンター長である河合亮氏、サイバーエージェントの長谷川誠氏、日本仮想化技術の宮原徹氏、デロイト トーマツ コンサルティングの鳥居隆史氏の4名だ。

日立製作所はソフトウェアベンダーでもありシステムインテグレーターという立場、サイバーエージェントはオープンソースにもコミットしている先進的なエンドユーザー、日本仮想化技術はオープンソースにも長けたブティックコンサルティング的なインテグレーター、そしてデロイト トーマツ コンサルティングは文字通りのコンサルティングファームである。企業としての立ち位置はそれぞれ異なるが、オープンソース系のカンファレンスではお馴染みのメンバーに、日本でのOSPOについて意見をいただくために集まっていただいた。

前もって皆さんには「オープンソースの利用に関する状況やオープンソースプログラムオフィスは必要か？」という設問に答えていただきました。その中でサイバーエージェントの長谷川さんの「エンジニアはOSSのライセンスについてはそれほど意識していない」というのがありますが。

長谷川：そうですね。これは自分の経験してきた業務の範囲でのお話になりますが、実際に開発の現場ではライセンスについてはあまり意識して開発しているとは言えないかなと感じています。実際に新卒研修とかにもそういう話はないですし。法務のスタッフもそういうリスクがあるかもというのは知ってはいますが、だからと言ってそこまで厳しくチェックがあるかというとそこまでできてないのが現状です。

サイバーエージェントの長谷川誠氏

エンジニアにとってみればコードを書くのが最優先で、特にそういうルールがなければやらないですよね。日立さんはOSSソリューションセンタがOSPOとしての役割を果たしているということですが。

河合：うちの部署は日立製作所の中ではオープンソースに関する専門的な部門として動いていますが、各部門が開発製造する製品に関して言えば、必ずランセンスに関するチェックが入るようになっていますね。チェックのためのソフトウェアが導入されていて、そのチェックが通らないと巻き戻して開発し直すといったことも起こります。もっとも、組込系などに必要となる数千から数万というような細かいオープンソースがある場合には、トップの数十個だけはチェックするけどその奥の方にあるライブラリーはどうするんだ？ といった議論になることはあります。

日立製作所の河合氏

日立のエンジニアにはそういうライセンスのチェックが必要であるというような教育を受けるんですか？

河合：そうですね。それは研修の一部に入ってます。それを受けないとツールも使えないので。自社製品だけではなくシステムインテグレーションなどでソフトウェアを納入するような場合も同様で、顧客に何を使って作ったか？ というリスト（BOM）を提出しないといけない場合があり、どういうライセンスのソフトウェアを使っているのか？ に関するチェックはシステムインテグレーションでもやってると思います。

意識高いですね。鳥居さんの前々職である日本電気のOSS推進センターではどんな感じでしたか？

鳥居：私がNECに在籍していたのは4年前なので、まだそこまでやっていなかったですね。ちょうどOpenChainが始まった頃だったので、日本のベンダーの中ではそれに乗っていこうみたいな雰囲気があったような気がします。

デロイト トーマツ コンサルティング合同会社の鳥居氏

宮原さんがお付き合いしている企業ではどんな感じですか？

宮原：今の話を聞いていて、うちは一般企業と同じようなレベルかなと思っています。一般企業ってソフトウェアを納入してもらってもソースコードを見る、触ることってほとんどないわけですよ。なのでライセンスについての意識は相当低いですよね。バイナリーとしてしか意識していない。ライセンスよりも、ソフトウェアの保証、瑕疵担保という話のほうが大きいです。そもそもレッドハットがなんであんなに売れるのかについては、何かあったら彼らが対応してくれるからっていうのが大きいわけですよ。

日本仮想化技術の宮原氏

それはそうですね。ベンダーが直してくれるソフトウェアとは違って、誰が直してくれるのか？が明確ではないのがオープンソースなわけで。

宮原：なのでライセンス違反がどうのというよりも、もっと大きな問題、つまり脆弱性やバグについてどうしてくれるんだという問題に帰着するわけです。

ライセンス料が不要なオープンソースソフトウェアを使っていて、かと言って瑕疵については保証しろっていう責任を納入元に求めるとすれば、その代わりに費用は高くなりますよっていう論理は通用するんですか？

河合：しないですね（笑）。

宮原：しませんね（笑）。価格の叩き合いになっちゃってます。

鳥居：ただデジタルトランスフォーメーションとかをやろうとすると、オープンソースソフトウェアを使わないとやれないという意識は出てきているような気はしますけどね。AIや機械学習ではオープンソースが当然になってきているのが実情ですから。

ライセンスについての話からエンジニアの働き方というか評価について話を変えたいんですが、顧客向けとか社内向けソフトウェア開発ではなくてオープンソースへの貢献って、言ってみればビジネスに直接関係ないソフトウェアの開発をエンジニアがやっているということになるわけですが、サイバーエージェントではその辺はどうやって評価しているんですか？

長谷川：これは難しい問題なんですよ。うちの場合はチームごとに変わる感じですね。そのチームのリーダーがそれを評価する場合もあるし、リーダーによっては余り評価してくれない場合もあります。今のところ、社内にはそれに関してのルールがありません。社内にOSPOのような組織を作ろうとしたこともありますし、今もそれに向けて動いているという状態ですね。

その場合の組織は兼務でバーチャルな組織なのか、専任の組織にするのか？ という問題がありますが。

長谷川：それについてはどっちでも良いかなーって思ってます。まずは組織があることが大事なので。大きくなってきたら専任の別組織にすれば良いと思います。

日立さんはそれについては経験があると思いますが。

河合：日立はそれに関して、過去に何度か失敗しているですよ。兼任にすると本業の仕事が忙しくなるとその組織でやるべきことができなくなるので。これは執行役員の強い意志でもあったんですが、兼任ではなく別組織で立ち上げようと。

執行役員クラスの後押しがあったということですね。

河合：そうです。これはかなりハッキリしていますね。日立という会社においては、トップダウンでやらないと上手くいかないというのは言えると思います。

鳥居：組織によっては、これをボトムアップでやれる会社もあるんですよ。会社の風通しの良さとかとも関係してきますが、ピラミッド的に階層がしっかり完成している組織だと、トップダウンでやらないとダメでしょうね。兼務か専任かについては、最初は小さなコアとなるグループを専任で作ってその周りに兼務の人を置くみたいなやり方でやっていく場合もあります。

宮原さんに聞きたいんですが、一般企業においてもオープンソースを使っていることを意識しましょうみたいなことを言うことはあるんですか？

宮原：我々のようなシステムを開発する側からすると、ユーザーにやらせずになるべくベンダーに任せてもらったほうが売上的には良いんですよね。

身も蓋も無い話ですね（笑）。企業が社内に抱えるのではなく社外の組織が請け負う形でオープンソースプログラムオフィスを設置するというビジネスは有り得るんじゃないかなと思うんですよね。

宮原：それは有り得るでしょうね。ただその場合もある程度の規模感がないと成り立たないような気がします。製造業のように、大きな開発を自社でやっている経験がある企業は、そういうオープンソースに関して専門的に頼める組織を外部に依頼して持つというのは今後出てくるんじゃないかなと思いますね。その場合は兼任というのではなく、専任（の外部の人）ということになるんでしょうけど。

単にソフトウェアライセンスの法的なチェックとか脆弱性のチェックを行うのではなくて、社員の教育とかコミュニティの付き合い方とか総合的に面倒見てくれる組織っていうのは必要ですよね。特にコミュニティの付き合い方は独力で学ぶしかないし、誰も教えてくれないっていうのが欠点ですよね。あとどちらかというと成功談よりも失敗談のほうが役に立つというか記憶に残るので、そういう体験を共有する仕組みなのかイベントなのか、そういうものが必要な気がします。以前、CNCFのDan Kohnに「なんでKubeConのキーノートは失敗談が多いのか？」って尋ねたら「だってそっちのほうがおもしろいだろ？」って言ってましたね。成功譚よりも失敗談のほうが記憶に残るんですよね。

河合：日立の社内にはオープンソースを使う際のガイドブック的なものはあるんですが、ちょっと初歩的過ぎるって感じなんですよ。あとやっぱりコミュニティによっては違いがあるので一般化できないっていうか。

宮原：それがどんなものなのかすごく興味があります。

長谷川：そういうのを公開して皆で議論できると良いですよね。

河合：こういうのを題材にMeetupをやったらすごく参加者が集まる気がするんですよね。

やってみたいですよね。そういうの。ソフトウェアの解説とかではなく組織の作り方とか評価の仕方とか。新型コロナウイルスの状況が良くなれば、そういうリアルなイベントも可能になるだろうとは思います。

この座談会ではここでは書ききれないオープンソースソフトウェアに関するさまざまな話題が飛び出した。同時に課題も浮き彫りになってきたように思える。これをきっかけに、多くの組織でオープンソースソフトウェアとの関わり方、組織のあり方、エンジニアの評価などについて議論が深まることを期待したい。